Facebook hesap bilgilerini ve kurban telefon numaralarını çalmaya yönelik bir sosyal mühendislik kampanyası, Facebook’un Messenger sohbet robotu özelliğini içeren bilinçli bir kampanya aracılığıyla iş sayfalarını hedefliyor.
Bu, Trustwave SpiderLabs tarafından yapılan bir analize göre. Orada kıdemli güvenlik araştırma müdürü olan Karl Sigler, Dark Reading’e kampanyanın etkileşimi açısından dikkate değer olduğunu ve kimlik avı kampanyalarının sosyal mühendislik yönlerinin ne kadar karmaşık hale geldiğini söylüyor.
“Sadece bir bağlantıya tıklayıp ardından bir yürütülebilir dosyayı indirmeniz istenmiyor – çoğu insan bunun bir saldırı olduğunu anlayacak ve tıklamayacak” diye açıklıyor. “Bu saldırıda, sizi teknik desteğin istemesini beklediğiniz bilgileri soran teknik destek türünde bir kanala yönlendiren bir bağlantıdır ve bu tür kampanyalarda sosyal mühendislik yönünün artması nispeten yenidir. “
Etkileşimli ve Görünüşte Meşru: Kimlik Avının Yeni Yüzü
Araştırmaya göre saldırılar çoğu zaman olduğu gibi e-postalarla başlıyor. E-postalar, Facebook’un topluluk standartlarının ihlali nedeniyle kullanıcı sayfalarının 48 saat içinde sonlandırılacağını iddia ediyor.
Facebook’un destek ekibinden olduğunu iddia eden gönderen, kullanıcılara itiraz etme şansı verdiğini iddia ediyor ve doğrudan e-postadan tıklamak için bir “Şimdi İtiraz Et” düğmesi sunuyor. Fareyle düğmenin üzerine gelindiğinde, URL, Meta’nın meşru URL kısaltma hizmetini (“m.me” kuralını kullanan) kullanır. Kullanıcılar tıklarsa, bir chatbot ile gerçek bir Messenger sohbetine yönlendirilirler.
Chatbot, Facebook destek ekibinin bir temsilcisi olduğunu iddia ediyor ve kurbanlara başka bir “Şimdi İtiraz Et” düğmesi sunuyor. Yerleşik bağlantı, kullanıcıları Google Firebase’de barındırılan bir web sitesinin yeni bir sekmesine götürür.
“Firebase, geliştiricilere uygulamayı oluşturmaya, iyileştirmeye ve büyütmeye yardımcı olacak çeşitli araçlar sağlayan bir uygulama geliştirme yazılımıdır. [making it] Trustwave’e göre herkesin web sayfaları oluşturması ve yayınlaması kolay” Salı analizi. “Spam gönderenler bu kullanılabilirlikten yararlanır ve bu durumda, kullanıcının sayfalarının varsayılan olarak silinmesine itiraz edebileceği bir Facebook ‘Destek Gelen Kutusu’ olarak gizlenmiş bir web sitesi oluşturdular.”
Bu sayfada, şimdi mağdurlardan e-posta adreslerini veya cep numaralarını, ad ve soyadlarını ve sayfa adlarını girmeleri istenir. İlk metin kutusunda bir cep telefonu numarası sorulmasına rağmen, bir telefon numarası için ek bir metin kutusu görüntülenir. “Gönder” düğmesine bastıktan sonra, kurbanların şifrelerini soran bir açılır pencere belirir.
Tüm veriler elbette doğrudan siber dolandırıcıların veri tabanına gönderilir.
Saldırı zincirinin son halkası, sahte bir iki faktörlü kimlik doğrulama gambitini içerir – kullanıcılara bir kod isteyen bir açılır kutu sunulur ve onlara bir kerelik bir şifre gönderileceği söylenir; kurbanların e-posta ve telefon verilerini yakalayabildi.
Son olarak, sayfa gerçek Facebook Yardım Merkezine yönlendirilecektir.
Kimlik Avında Güvenilirliği Artırma
Bu kampanyayı bu kadar etkili kılan yönlerden biri de, günümüzde chatbotların dijital pazarlama ve canlı desteğin ortak özelliği olması ve insanların, özellikle de gerçek gibi görünen bir kaynaktan geliyorlarsa, içeriklerinden şüphe duymamalarıdır.
Sigler, “Kampanya gerçek Facebook sohbet mekanizmasını kullanıyor” diyor. “E-postadaki bağlantıya tıkladığınızda ve sizi kelimenin tam anlamıyla Facebook’a götürür ve yukarıda hesap profilinizi görebilir, bunun Facebook olduğunu görebilirsiniz, URL’ye bakabilirsiniz ve güzel küçük bir kilidi vardır. bu güven veriyor. Destekleyici Sayfa desteği diyor. Bana bir vaka numarası verdiler. Bu, çoğu insanın kimlik avıyla ilgili kırmızı bayrakları belirlemek için koyduğu engelleri yıkmak için yeterlidir.”
Sigler, bu tür saldırıların özellikle işletme sayfası sahipleri için özellikle riskli olabileceği konusunda uyarıyor.
“Bu, hedeflenen türde bir saldırıda çok iyi bir şekilde kullanılabilir” diye belirtiyor. “İster Skype, ister Teams veya Signal olsun, bir kuruluşun belirli mesajlaşma istemcilerinde standart hale geldiğini biliyorsam, o mesajlaşma platformuna özel bir kampanya oluşturmaya başlayabilirim.”
Sigler, siber suçluların Facebook kimlik bilgileri ve telefon numaralarıyla iş kullanıcılarına çok fazla zarar verebileceğini ekliyor.
“Sosyal ağınızdan sorumlu kişi bu tür bir dolandırıcılığa düşerse, aniden, tüm işletme sayfanız bozulabilir veya meşruiyetini kullanarak müşterilerinize doğrudan erişmek için o işletme sayfasına erişimden yararlanabilir. Facebook varlığı” diye açıklıyor. “Ayrıca muhtemelen ek ağ erişimi ve verilerin peşinden gidecekler.”
Kullanıcı Farkındalık Eğitimi ile Kimlik Avı Savunması: Hâlâ Etkili
Sigler, bu tür saldırıları yaymak için geçerli altyapının kullanılmasının, kimlik avında gelecek şeylerin bir işareti olduğunu belirtiyor.
“Çoğu zaman, bu tür saldırılar, klonlanmış siteleri veya Facebook’a benzeyen yazım hatası yapılmış alan adlarını kullanır, ancak bu aslında ‘Facebock’ diyelim,” diyor. “Gelecekte, geleneksel olarak geçerli kaynaklardan gelen bir saldırı eğilimi görmeye devam edeceğiz ve üstüne bindikleri meşruiyet seviyesi nedeniyle bu kampanyaları ayırt etmek giderek daha zor olacak.”
Bununla birlikte, bu özel kampanyanın şüpheli kırmızı bayrakları olmadan olmadığını belirtmekte fayda var. Örneğin, araştırmacılar, e-postaların “Sayfa” kelimesinin yanlış büyük harf kullanımı ve üçüncü cümlenin sonunda eksik nokta gibi dilbilgisi sorunlarına sahip olduğuna dikkat çekti. Ve e-posta başlığında gönderenin adı “Politika Sorunları”dır, ancak gönderen etki alanı Facebook’a ait değildir. Ayrıca, e-postanın Alınan üstbilgilerinde ve gönderenin IP adresinde, sosyal medya platformu tarafından gönderilmediği açıktır.
Kullanıcılar sözde destek sayfasına götürüldüğünde de sorunlar var.
Araştırmaya göre, “Sayfanın sahibi olan profilin daha yakından incelenmesi, bunun gerçek bir destek sayfası olmadığını ortaya çıkaracaktır”. “Kullanılan profil, sıfır takipçisi olan ve gönderisi olmayan normal bir işletme/hayran sayfasıdır. Bu sayfa kullanılmamış gibi görünse de, Facebook’un %90 yanıt oranına sahip olarak tanımladığı ve 15 içinde yanıt verdiği ‘Çok Duyarlı’ bir rozeti vardı. Hatta meşru görünmesi için profil resmi olarak bir Messenger logosunu bile kullandı.”
“Bu tür bir saldırı benim açımdan biraz sakar olsa da ve bence birçok insan kırmızı bayraklar nedeniyle bunu anlayacaktır, bence bu bir başlangıç ve bence gidecekler. çok daha akıllı olun,” diye uyarıyor Sigler.
Sigler, bu nedenle en iyi savunmanın kullanıcı kimlik avı eğitimine odaklanmak olduğunu savunuyor.
Sigler, “Güvenlik ihlallerinin %95’inden fazlası, başlangıçta birinin bir kimlik avı e-postasındaki yanlış bağlantıya tıklamasıyla başlatılıyor” diyor. “Umarım kuruluşlar sürekli güvenlik bilinci eğitimi alıyorlardır, çünkü bu tür saldırılara karşı yama yapmak için yapabileceğiniz tek şey kullanıcılarınızı eğitmektir. Bu nedenle, güvenlik bilinci programınızı tekrar gözden geçirmek, ne olduğunuza bir göz atmak önemlidir. şu anda çalışanlarınıza ve kullanıcılarınıza kimlik avı saldırılarını öğretiyor ve güncel olduğundan ve bu daha karmaşık kampanyalardan bazılarını içerdiğinden emin olun.”